Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Monitor Logs jest platformą danych dla usługi Microsoft Sentinel. Wszystkie dzienniki zaimportowane do usługi Microsoft Sentinel są przechowywane w obszarze roboczym usługi Log Analytics, a zapytania dzienników , napisane w języku Kusto Query Language (KQL), są używane do wykrywania zagrożeń i monitorowania aktywności sieci.
Usługa Log Analytics zapewnia wysoki poziom kontroli nad danymi pozyskiwanymi do obszaru roboczego dzięki niestandardowym regułom pozyskiwania danych i regułom zbierania danych (DCR). Mechanizmy DCR pozwalają zarówno na zbieranie, jak i manipulację danymi przed ich zapisaniem w obszarze roboczym. DCR-y formatują i wysyłają dane zarówno do standardowych tabel usługi Log Analytics, jak i dostosowywalnych tabel dla źródeł danych, które generują unikatowe formaty dziennika.
Narzędzia usługi Azure Monitor na potrzeby niestandardowego pozyskiwania danych w usłudze Microsoft Sentinel
Usługa Microsoft Sentinel używa następujących narzędzi usługi Azure Monitor do kontrolowania pozyskiwania danych niestandardowych:
przekształcenia są definiowane w DCR i stosują zapytania KQL do danych przychodzących przed ich zapisaniem w obszarze roboczym. Te przekształcenia mogą odfiltrować nieistotne dane, wzbogacić istniejące dane za pomocą analizy lub danych zewnętrznych albo zamaskować poufne lub osobiste informacje.
Interfejs API pozyskiwania dzienników umożliwia wysyłanie dzienników w niestandardowym formacie z dowolnego źródła danych do obszaru roboczego Log Analytics oraz przechowywanie tych dzienników w standardowych tabelach lub w stworzonych przez Ciebie tabelach niestandardowych. Masz pełną kontrolę nad tworzeniem tych tabel niestandardowych, łącznie z określeniem nazw i typów kolumn. Interfejs API używa DCR do definiowania, konfigurowania i stosowania przekształceń na tych przepływach danych.
Uwaga
Obszary robocze usługi Log Analytics włączone dla usługi Microsoft Sentinel nie podlegają opłaty za filtrowanie pozyskiwania w usłudze Azure Monitor, niezależnie od ilości danych filtrów transformacji. Jednak przekształcenia w usłudze Microsoft Sentinel w przeciwnym razie mają takie same ograniczenia jak usługa Azure Monitor. Aby uzyskać więcej informacji, zobacz Ograniczenia oraz zagadnienia.
Obsługa dcR w usłudze Microsoft Sentinel
Przekształcenia czasu pozyskiwania są definiowane w regułach zbierania danych (DCR), które kontrolują przepływ danych w usłudze Azure Monitor. Zasady zbierania danych (DCR) są używane przez łączniki i procesy w usłudze Sentinel oparte na AMA, wykorzystując interfejs API do pozyskiwania dzienników . Każdy kontroler domeny zawiera konfigurację dla konkretnego scenariusza zbierania danych, a wiele łączników lub źródeł może współużytkować jeden kontroler domeny.
Przekształcenia obszaru roboczego wspierają przepływy pracy, które normalnie nie używają DCR. Przekształcenia obszaru roboczego DCR zawierają przekształcenia dla dowolnych obsługiwanych tabel i są stosowane do całego ruchu kierowanego do tej tabeli.
Aby uzyskać więcej informacji, zobacz:
- Przekształcenia zbierania danych w usłudze Azure Monitor
- Interfejs API importu dzienników w usłudze Azure Monitor Logs
- Reguły zbierania danych w usłudze Azure Monitor
Przypadki użycia i przykładowe scenariusze
Artykuł Przykładowe przekształcenia w Azure Monitor zawiera opis i przykładowe zapytania dotyczące typowych scenariuszy, używając przekształceń podczas przetwarzania danych w Azure Monitor. Scenariusze, które są szczególnie przydatne w przypadku usługi Microsoft Sentinel, obejmują:
Zmniejsz koszty danych. Filtrowanie zbierania danych według wierszy lub kolumn w celu zmniejszenia kosztów pozyskiwania i magazynowania.
Normalizacja danych. Normalizacja dzienników przy użyciu advanced security information model (ASIM) w celu zwiększenia wydajności znormalizowanych zapytań. Aby uzyskać więcej informacji, zobacz normalizacja czasu pozyskiwania.
Wzbogacanie danych. Przekształcenia czasu pozyskiwania umożliwiają ulepszanie analizy przez wzbogacanie danych o dodatkowe kolumny dodane do skonfigurowanej transformacji KQL. Dodatkowe kolumny mogą obejmować przeanalizowane lub obliczone dane z istniejących kolumn.
Usuń poufne dane. Przekształcenia podczas przetwarzania danych wejściowych mogą służyć do ukrywania lub usuwania danych osobowych, takich jak pozostawienie widocznych tylko ostatnich cyfr numeru ubezpieczenia społecznego lub numeru karty kredytowej.
Przepływ pozyskiwania danych w usłudze Microsoft Sentinel
Na poniższej ilustracji pokazano, gdzie przekształcanie danych w momencie ich pozyskiwania wprowadza do przepływu pozyskiwania danych w usłudze Microsoft Sentinel. Te dane mogą być obsługiwane w standardowych tabelach lub w określonym zestawie tabel niestandardowych.
Ten obraz przedstawia przepływ w chmurze, który reprezentuje składnik zbierania danych usługi Azure Monitor. Więcej informacji na ten temat można dowiedzieć się wraz z innymi scenariuszami zbierania danych w temacie Reguły zbierania danych (DCR) w usłudze Azure Monitor.
Usługa Microsoft Sentinel zbiera dane w obszarze roboczym usługi Log Analytics z wielu źródeł.
- dane zebrane z punktu końcowego interfejsu API pozyskiwania dzienników lub agenta usługi Azure Monitor (AMA) są przetwarzane przez określoną zasadę zbierania danych (DCR), która może obejmować transformację podczas pozyskiwania.
- dane z wbudowanych łączników danych są przetwarzane w usłudze Log Analytics przy użyciu kombinacji zakodowanych na stałe przepływów pracy i przekształceń czasu pozyskiwania w obszarze roboczym DCR.
W poniższej tabeli opisano obsługę modelu DCR dla typów łączników danych usługi Microsoft Sentinel:
Typ łącznika danych | Wsparcie DCR |
---|---|
dzienniki agenta usługi Azure Monitor (AMA), takie jak: |
Co najmniej jeden DCR skojarzony z agentem |
Bezpośrednie ingestowanie za pomocą interfejsu API do ingestowania dzienników | DCR określony w wywołaniu API |
Wbudowany, oparty na interfejsie API łącznik danych, taki jak: |
DCR utworzony dla konektora |
Połączenia oparte na ustawieniach diagnostycznych | Przekształcanie obszaru roboczego DCR z obsługą tabel wyjściowych |
Wbudowane łączniki danych oparte na interfejsie API, takie jak: |
Aktualnie nieobsługiwane |
Wbudowane łączniki danych typu service-to-service, takie jak: |
DCR dotyczące przekształcenia obszaru roboczego dla tabel , które obsługują przekształcenia |
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: